大規模治理AI以應對欺詐、合規和自動化

隨著組織爭相採用人工智慧，它們面臨一個關鍵挑戰：如何在推動增長和效率的同時，不損害合規性或暴露敏感資料。從零售客戶獲取到高風險合規操作，企業必須謹慎平衡野心與監督。

美國國家標準與技術研究院（NIST）與美國商務部共同制定了AI風險管理框架（AI RMF），這是一個官方的美國政府框架，旨在更好地管理與AI相關的個人、組織和社會風險。它強調AI系統應值得信賴、有效、可靠且具有彈性，組織必須在整個生命週期內實施治理、持續監控和控制來管理AI風險。

NIST強調，治理應該是主動的，貫穿AI生命週期，並根據領域和風險容忍度進行定製。它還建議明確角色、持續監控和人類參與的控制，以確保AI安全地交付價值。

Emerj編輯總監Matthew DeMello與TD銀行內部風險、分析和檢測負責人Naveen Kumar進行了對話，探討組織如何有效部署AI工具，平衡創新與治理，並衡量實際業務影響。本文分析了成功採用AI的兩個核心見解：根據業務領域匹配AI風險偏好，以及實施逐步資料分類以降低AI風險。

首先，關於匹配AI風險偏好，Naveen指出AI模型中的幻覺問題可以透過在提示中提供真實上下文來緩解。他強調目標不是通用人工智慧，而是針對組織內特定用例構建的非常目的性的AI。他認為這應該是基於角色的，當使用者提示系統時，訪問許可權根據職能進行限制：HR看到HR資訊，調查人員看到被標記的員工，財務資料對無關人員保持不可見。Naveen將基於角色的AI比作“禮貌的保安”，只根據角色提供資訊。他還指出，AI的使用嚴重依賴於領域，在合規方面需要更加保守。

其次，實施逐步資料分類，Naveen建議將資料標記為安全、敏感或關鍵，並在初始AI迭代中避免使用關鍵資料，以管理風險同時建立有用性。他強調了分階段的方法，從狹窄定義的AI系統開始，限制資料可用性。在後期，才能讓AI訪問關鍵資料來源。他舉例說明，在可疑活動報告的情況下，AI可以支援流程，但不應完全端到端執行，必須有人類參與迴圈。他建議根據速度和精確度來思考：低風險警報可以由AI處理，但超過特定閾值的警報需要人工審查。

Naveen還提到，AI代理越來越被視為“準人類”或像員工一樣，因此應該以與人類相同的方式去風險化：他們使用什麼資料、接觸什麼、影響什麼、誰審查他們的工作、誰批准。他分享了一個例子，企業環境中機器人的名字以員工命名，如“Naveen_AI_bot”，出現在聊天中並學習使用者活動。這凸顯了人類和AI之間界限的模糊，同樣的護欄應適用於兩者。

最終，正確的平衡取決於領域和用例。在某些情況下，AI應被定位為效率層或初稿，而不是完全自主的端到端解決方案。